プロキシ環境下で Meraki を導入することはおすすめできない

単刀直入に言うと、Meraki を導入したいと考えているのであれば、Meraki の機器がダッシュボードとやりとりする通信 (管理トラフィック) はプロキシサーバを通らなくてもインターネットへアクセスできるよう、ファイアーウォール (FW) の設定を変更することを推奨します。もちろんプロキシを通して使用することもできますが、プロキシを使用した時の制限事項により Meraki の良さが半減してしまいます。 プロキシ環境 Explicit プロキシを導入している多くの企業では、プロキシサーバの送信元 IP アドレスのみインターネットへのアクセスを許可する制限が FW に設定されているはずです。このような設定をすれば、直接インターネットにアクセスしようとするクライアントは自分自身の IP アドレスでインターネットにアクセスしようとするので、FW が通信を遮断します。Yahoo! JAPAN にアクセスしたいクライアントを例にこの動作を考えてみましょう。 クライアントの IP アドレスを 192.168.0.1、プロキシサーバを 10.0.0.100、Yahoo! Japan を 182.22.59.229 とします。なお、FW ではプロキシサーバの IP である 10.0.0.100 のみ許可し、それ以外は拒否しています。図の上の矢印のように、クライアントが Yahoo! JAPAN へ直接アクセスを試みると、FW に到達するパケットの送信元 IP は 192.168.0.1 になるので、FW で設定されたルールに基づいてパケットを落とします。逆に図の下の矢印のようにプロキシを経由すれば、クライアントが送信したパケットの送信元 IP はプロキシサーバの IP に書き換えられるので、FW のルール番号 1 に基づき許可され、クライアントは Yahoo! JAPAN にアクセスすることができます。 推奨設定 さて、このような環境で … Continue reading プロキシ環境下で Meraki を導入することはおすすめできない

Meraki MR + グループポリシーで実現する MAC アドレス認証

Meraki MR では media access control (MAC) アドレス認証「もどき」を実現することができます。Cisco の Wireless LAN Controller (WLC) では MAC アドレスをデータベースに登録し、service set ID (SSID) の画面で mac filtering を設定しますが、Meraki ではスプラッシュページとグループポリシーという仕組みを利用します。 セキュアではない ただし、実現できるからといって推奨するわけではありません。MAC アドレス認証はセキュアではないので、使用するべきではありません。使用する場合は access control list (ACL) でインターネット接続を防ぎ、レイヤ 2 よりも上のレイヤのプロトコルで通信を暗号化するべきです。詳しくはこの記事を確認してください。 また、Meraki の公式ドキュメントではホワイトリストでの手順を紹介していますが、ホワイトリストに追加するとその端末は外部も内部もアクセスできてしまいます。ホワイトリストを使用せずに、グループポリシーで許可する通信先のみを定義し、セグメンテーションをしっかりと実施してください。 設定手順 今回はグループポリシー内の Layer 3 ファイアーウォールにてセグメンテーションを実施し、同ポリシー内でスプラッシュページをバイパスする設定で MAC アドレス認証を実現させます。設定手順は下記の通りです。 1. SSID を作成 ワイヤレス > SSID にて、SSID を新規に作成します。今回は se-japan-mac という名前にしました。 次に「設定の変更」から SSID … Continue reading Meraki MR + グループポリシーで実現する MAC アドレス認証

MAC アドレス認証はセキュアではない

アクセスポイントのベンダーで働いていると media access control (MAC) アドレス認証に対応しているかよく聞かれます。MAC アドレス認証では端末とアクセスポイントで送信されるフレームは暗号化されない上に、端末の固有識別番号である MAC アドレスを偽装することが可能なので、攻撃者は簡単に通信を傍受したり、ネットワークへアクセスすることができます。世界中でセキュリティインシデントが発生しているにも関わらず、脆弱な認証方式を企業で使用し続けることは理解に苦しみます。 好き好んで MAC アドレス認証を使用し続けている訳ではないことも理解しています。例えば、現在使用している端末が古く、その端末が新しい認証方式に対応していないので仕方なく使用しているかもしれません。後継機を購入したいけど、その端末が生産中止になった可能性も考えられます。しかし、そのような背景とセキュリティインシデントを天秤にかけると、やはり使用し続ける価値は見出せません。最低でもインターネット出れないように access control list (ACL)  を設定し、デバイス同士の通信はプロトコルレベルで暗号化するべきです。 なぜインターネット接続までも制限をしなければいけないのか思うかもしれません。もし攻撃者が MAC アドレスを偽装しインターネットへ自由にアクセスできた場合、そのネットワークから他者へ攻撃することが可能になります。一番悪いのは攻撃者なのですが、日本国内の近年の時事ニュースを見ていると、ネットワークを提供している人も責任が問われる可能性が高いです。 誰でも傍受可能 Wi-Fi は空間を媒体とする通信方式のため、電気信号を受信できる距離にいれば他の端末の通信を容易に傍受することが可能です。Apple 社の MacBook では Wireless Diagnotics ツールの一部として無線空間をキャプチャするソフトウェアが標準で付いてきます。Windows でも Savvius 社の Omnipeek というソフトウェアが存在します。これらのソフトウェアを使用すれば、誰でも無線通信を傍受することができます。 さらに、MAC アドレス認証を使用した時、無線空間に送信されるフレームは暗号化されません。なので、HTTP、TFTP、Telnet といった暗号化されていないプロトコルを使用した場合、その通信内容は他者に対して丸見えな状態になります。 誰でも接続可能 MAC アドレス認証は MAC アドレスを基にその端末のネットワーク接続可否が決まりますが、MAC アドレスは簡単に書き換えられます。次のステップを踏めば、MAC アドレス認証を使用しているネットワークへ誰でもアクセスできます。 無線パケットキャプチャを取得 オープン認証の service set ID (SSID) を把握 その SSID で通信している端末の MAC … Continue reading MAC アドレス認証はセキュアではない

Meraki MX のモデル選び方

Meraki MX のモデル選定方法は MS よりも遥かに簡単です。MX は使用できる機能が全てのモデルで統一されているので、スペックで選択する必要があります。アクセサリも MX の場合は簡単です。もちろんエントリーモデルである MX67 や MX68 はLTE や無線が付いたモデルがあるので、50 クライアント以下の拠点では用途に応じて選ばなければなりません。MX の選定で悩んでいる人は少ないと予想していますが、正しいモデル選定を行うためにも、この記事で選定となる軸を紹介したいと思います。 スペック MX では以下の 2 つの質問をすればモデルが決まります。 拠点のクライアント数はいくつかVPN トンネル (クライアント VPN + 拠点間 VPN) 数はいくつか 各 MX のスペックをまとめた表は下記になります。W は Wi-Fi モジュールが付いたモデル、C は SIM カードを挿せば LTE を使用できるモデルになります。 モデルクライアント数VPN トンネル数メモMX645050 MX64W5050 MX655050PoE ポート有MX65W5050PoE ポート有 MX675050 MX67C5050アンテナは取り外し可MX67W5050 MX685050PoE ポート有MX68W5050PoE ポート有MX68CW5050アンテナは取り外し不可MX7520075PoE ポート有MX84200100ファンレス MX85250200ファンレスラックマウント用金具別途購入MX95500500ラックマウント用金具別途購入MX100500250 MX1057501000ラックマウント用金具別途購入MX25020003000 MX450100005000  MX67 でのクライアント数の上限は 50 台となっていますが、51 台目を繋げたからといって必ずパフォーマンスイシューが発生する訳ではありません。ですが、Meraki としては絶対に守ったほうがいい数字となっています。2 つの数字を守っていれば、パフォーマンスイシューに陥ることはありません。気になる場合は、Meraki の営業からデモ機を借り、オーガナイゼーション > … Continue reading Meraki MX のモデル選び方

Meraki クライアント VPN と Active Directory 連携

Meraki MX シリーズでは追加費用なしでクライアント VPN を使用でき、TLS 接続の Lightweight Directory Access Protocol (LDAP) 認証にて Windows Server の Active Directory (AD) と連携することが可能です。今日では Azure AD への移行も段々と増えてきていますが、Azure AD は Windows Server を完全に置き換えることはできないので、Windows Server に Azure AD Connect をインストールし運用するのが一般的です。Azure AD のみでは MX のクライアント VPN とは連携させることはできません。なので、まずは MX と Windows Server を連携させる必要があります。 Windows Server に AD 機能をインストール 「サーバーマネージャー」の「役割と機能の追加」から「Active Directory Domain Services」を選択します。 上記スクリーンショットで「次へ」をクリックし、機能で「.NET Framework … Continue reading Meraki クライアント VPN と Active Directory 連携

O365 (ローカルブレイクアウト) なら Meraki MX

O365 等のクラウドサービスが増え、拠点側の全トラフィックがデータセンタ (DC) を通過するネットワークアーキテクチャが破たんしつつあります。DC からインターネットへ抜けるための FW もしくは回線がボトルネックとなり、ユーザから O365 が「遅い」「接続が切れる」と言った苦情が相次いでいます。これを解決するために、各ベンダはクラウド通信を拠点側から「抜く」機能をルータもしくはファイアウォールに実装しました。この機能の呼び方は様々ですが、ローカルブレイクアウトやダイレクトインターネットアクセスと呼ばれています。ほとんどのベンダーがこの機能を実装していますが、Meraki MX 以外の製品は言葉通りトラフィックをただ単に「抜く」だけで、拠点側のセキュリティを担保していません。拠点側のブラックボックス化を防ぎ、ローカルブレイクアウト機能、ファイアーウォール機能、VPN 機能をワンボックスで提供しているのは MX のみです。 既存ネットワークアーキテクチャの問題 MX を既存ネットワークに導入すれば問題は発生しないのですが、O365 をそのまま導入するとどのような問題が発生するか説明します。既存ネットワークにそのまま導入すると、下の画像の通り O365 へのアクセスは本社もしくは DC を経由することになります。 拠点側の端末が O365 へアクセスしたい場合、パケットは拠点と DC を繋ぐ回線を通過し、DC に設置されている各種セキュリティ製品でポリシーに準拠しているか確認され、インターネットへ抜けます。今日では拠点側のセキュリティを DC 側で担保している場合がほとんどなので、全てのトラフィックは DC を通過しなくてはいけません。なので、拠点側のデバイスが直接インターネットへと抜ける事はタブー中のタブーなのです。ですが、DC を中心としたアーキテクチャではインターネットの依存度が高いネットワークの要件を満たすことができず、下の画像の箇所で問題が発生します。 クラウドアクセスのパフォーマンス不足 拠点から DC へのネットワーク帯域不足 ローカルブレイクアウトを実現するための管理・セキュリティ機能不足 ネットワークがブラックボックス化 ボトルネックとなっている回線や FW をアップグレードすればいいのかもしれませんが、それはコストの観点から現実的ではありません。グローバル企業になるとそれをサポートする FW の価格は億を超えることもあります。コストを抑えつつ ① から ④ の問題をワンボックスで解決できるのは MX だけです。 Meraki MX を利用した解決策 下の画像のように MX … Continue reading O365 (ローカルブレイクアウト) なら Meraki MX

Installing vCSA 6.5 on Workstation 10

VMware's vCenter Server causes too many issues when ran on Windows Server. How much I fear clicking the Windows update button and crossing my fingers every reboot. In addition, the logs do not indicate a clear reason why it did not start. To solve this issue, I decided to run vCenter Server Appliance (vCSA) 6.5 … Continue reading Installing vCSA 6.5 on Workstation 10

iPhone Realtime Packet Capture

More and more mobile devices such as iPhones and iPads appear in our workplace. They definitely changed the way people work, and increase productivity. However, these devices require new methods of troubleshooting when an issue occurred. Wireshark does not run on iPhones, but luckily anyone can easily obtain realtime packet captures with an OSX device. … Continue reading iPhone Realtime Packet Capture

Meraki MS のモデル選び方

MS は他の Meraki の製品よりも機能の違いが分かりにくいと感じます。また、SFP やスタックケーブル等のアクセサリの種類も豊富なので、多くの人が MS の型番の見方に苦悩しているのではないでしょうか。Cisco Catalyst よりも勝る部分があるのにも関わらず、なんだか分からないという理由で考慮されないのは非常に勿体無いです。より様々なところで MS が使用されることを願い、この記事ではどのように最適なモデルを選定すればいいのか紹介します。 機能 Cisco Catalyst に L2 や L3 があるように、Meraki にも L2 や L3 スイッチが存在します。しかし、モデルによって一部の L3 機能しか対応していないこともあるので注意が必要です。MS のモデルは以下の機能が必要かで 99% 決まります。 UPoEスタック冗長電源10G (ファイバー) アップリンクmGig (銅線 10G)スタティックルーティングダイナミックルーティング (OSPF) 上記の中で UPoE は注意が必要です。なぜならば、公式ドキュメントには MS350-24X と MS355 が UPoE に対応していると記載があるが、実際に対応しているのは MS390 のみとなります。 各モデルが対応している機能を表にまとめると下記のようになります。MS450 で設定できるスタティックルートの数は現在不明です。判明次第更新します。 モデルUPoEスタック10G冗長電源mGigスタティッルーティングOSPF40G100GMS120✖️✖️✖️✖️✖️✖️✖️✖️✖️MS125✖️✖️◯✖️✖️✖️✖️✖️✖️MS210✖️◯✖️✖️✖️16✖️✖️✖️MS225✖️◯◯✖️✖️16✖️✖️✖️MS250✖️◯◯◯✖️256◯✖️✖️MS350✖️◯◯◯△24X のみ256◯✖️✖️MS355✖️◯◯◯◯256◯◯✖️MS390◯◯△MA-MOD-4/8X10G◯△X/X2 のみ?◯△MA-MOD-2X40G✖️MS410✖️◯◯◯✖️256◯✖️✖️MS425✖️◯◯◯✖️256◯◯✖️MS450✖️◯△CVR-QSFP-SFP10G◯✖️?◯◯◯モデルUPoEスタック10G冗長電源mGigスタティッルーティングOSPF40G100G アクセサリ MS のアクセサリも少し癖があります。MS210 より上位のモデルがスタック可能となりますが、スタッキングケーブルが付属するのは … Continue reading Meraki MS のモデル選び方